Il Patch Tuesday di giugno 2026 porta Microsoft ad affrontare contemporaneamente tre fronti critici della sicurezza informatica: la correzione di uno zero-day attivamente sfruttato contro Exchange Server, la risoluzione di problemi che impedivano l’installazione degli aggiornamenti cumulativi su alcune versioni di Windows 11 e il ripristino di decine di repository GitHub ufficiali compromessi dalla campagna Miasma. Le iniziative arrivano in un momento particolarmente delicato per l’ecosistema Microsoft, sempre più esposto sia agli attacchi contro infrastrutture enterprise sia alle minacce rivolte alla supply chain open source. Da una parte gli amministratori devono intervenire rapidamente per chiudere una vulnerabilità già sfruttata in scenari reali, dall’altra sviluppatori e aziende sono chiamati a verificare l’integrità dei repository e degli strumenti utilizzati nei propri workflow. L’insieme delle misure adottate mostra come la sicurezza moderna non riguardi più soltanto sistemi operativi e server, ma coinvolga codice, repository, pipeline CI/CD e piattaforme collaborative utilizzate quotidianamente da milioni di professionisti.
Cosa leggere
Windows 11 risolve i problemi di installazione degli aggiornamenti cumulativi
Tra gli interventi inclusi nel ciclo di aggiornamenti di giugno figura la correzione di un problema che impediva ad alcuni sistemi Windows di installare correttamente gli aggiornamenti cumulativi. I dispositivi interessati erano principalmente quelli aggiornati da Windows 10 21H2, Windows 10 22H2 o Windows 11 23H2 verso Windows 11 24H2 o Windows 11 25H2. In questi scenari il sistema poteva mostrare gli errori 0x80073712 associato a ERROR_SXS_COMPONENT_STORE_CORRUPT oppure 0x800f0993, identificato come PSFX_E_REBASE_HYDRATION_CANDIDATES_MISSING, interrompendo il processo di aggiornamento attraverso Windows Update. Microsoft ha chiarito che il problema interessa soltanto una percentuale limitata di dispositivi e che la correzione viene distribuita automaticamente attraverso gli aggiornamenti di giugno. Per gli utenti domestici spesso è sufficiente un riavvio del sistema per completare la procedura, mentre negli ambienti aziendali la soluzione viene integrata direttamente nei pacchetti cumulativi distribuiti attraverso i normali canali di gestione centralizzata. La correzione assume particolare importanza perché garantisce la continuità della distribuzione delle patch di sicurezza, evitando che sistemi vulnerabili rimangano esclusi dal normale ciclo di aggiornamento.
Le procedure manuali per ripristinare Windows 11 24H2 e 25H2
Microsoft ha pubblicato anche istruzioni specifiche per gli amministratori che continuano a riscontrare errori dopo l’installazione delle nuove release di Windows 11. Nei casi più complessi viene suggerita la rimozione manuale del pacchetto problematico tramite DISM, utilizzando il comando dedicato da prompt con privilegi elevati. Qualora l’operazione non risultasse sufficiente, l’azienda raccomanda un aggiornamento in-place del sistema operativo per ricostruire correttamente il componente store e ripristinare il normale funzionamento di Windows Update.
| Versioni client | KB di origine | KB risolto |
|---|---|---|
| Windows 10, versione 21H2 | KB5082200 | KB5094127 |
| Windows 10, versione 22H2 | KB5082200 | KB5094127 |
| Windows 11, versione 23H2 | KB5082052 | KB5093998 |
| Windows 11, versione 25H2 | KB5079391 | KB5094126 |
| Windows 11, versione 24H2 | KB5079391 | KB5094126 |
Contestualmente Microsoft ha aggiornato la documentazione relativa alle corrispondenze tra i pacchetti interessati e gli aggiornamenti correttivi, fornendo agli amministratori indicazioni precise per verificare lo stato dei propri ambienti. La disponibilità di procedure manuali rappresenta un elemento essenziale soprattutto per le grandi organizzazioni, dove eventuali problemi di aggiornamento possono tradursi rapidamente in ritardi nella distribuzione delle patch e in un aumento dell’esposizione al rischio.
Microsoft chiude lo zero-day CVE-2026-42897 su Exchange Server
L’intervento più urgente del Patch Tuesday giugno 2026 riguarda però la vulnerabilità CVE-2026-42897, una falla XSS classificata come zero-day e già sfruttata in attacchi reali contro installazioni di Exchange Server. Il problema interessa Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition, consentendo a un attaccante di eseguire codice JavaScript arbitrario nel contesto del browser della vittima attraverso messaggi di posta elettronica appositamente costruiti. L’exploit prende di mira gli utenti di Outlook Web Access e può essere attivato quando determinate condizioni di interazione vengono soddisfatte durante la visualizzazione del contenuto malevolo. La gravità della vulnerabilità aveva già spinto la CISA a inserirla nel catalogo Known Exploited Vulnerabilities nel mese di maggio, imponendo alle agenzie federali statunitensi tempi rapidi per l’applicazione delle mitigazioni disponibili. Microsoft aveva risposto inizialmente distribuendo una protezione temporanea tramite Exchange Emergency Mitigation Service, ma con il rilascio delle patch di giugno la società invita ora tutte le organizzazioni a installare immediatamente gli aggiornamenti definitivi e a mantenere comunque attive le mitigazioni esistenti come ulteriore livello difensivo. La presenza di exploit osservati nel mondo reale rende infatti la distribuzione della patch una priorità assoluta per qualsiasi ambiente Exchange esposto.
GitHub blocca 73 repository Microsoft compromessi dalla campagna Miasma
Parallelamente alla distribuzione degli aggiornamenti di sicurezza, Microsoft e GitHub hanno affrontato una minaccia differente ma altrettanto significativa. La piattaforma ha infatti disabilitato temporaneamente 73 repository ufficiali Microsoft appartenenti alle organizzazioni Azure, microsoft, Azure-Samples e MicrosoftDocs dopo la scoperta di compromissioni collegate alla campagna Miasma, nota anche come Shai-Hulud. Gli attaccanti utilizzavano commit orfani e workflow modificati per introdurre codice malevolo finalizzato al furto di token OIDC, credenziali e segreti utilizzati dagli sviluppatori durante i processi di integrazione e distribuzione del software. La campagna rappresenta una classica operazione di supply chain attack, nella quale il bersaglio non è l’utente finale ma l’infrastruttura utilizzata per sviluppare e distribuire applicazioni. Secondo le ricostruzioni disponibili, il malware era già apparso in precedenza all’interno di pacchetti npm associati ad ambienti enterprise e successivamente aveva esteso il proprio raggio d’azione verso repository collegati all’ecosistema Microsoft. L’episodio conferma quanto le pipeline di sviluppo siano diventate uno degli obiettivi preferiti dei gruppi criminali, soprattutto quando consentono di ottenere accesso a servizi cloud e infrastrutture di produzione.
Il malware puntava a token, credenziali e strumenti AI per sviluppatori
L’aspetto più interessante della campagna Miasma riguarda il tipo di obiettivi selezionati dagli attaccanti. Oltre al furto di token OIDC, il malware cercava di raccogliere informazioni e credenziali utilizzate da strumenti di sviluppo assistiti dall’intelligenza artificiale come Claude Code, Gemini CLI, Visual Studio Code e Cursor. Questo dettaglio evidenzia una tendenza sempre più evidente nel panorama delle minacce moderne: gli ambienti di sviluppo basati su AI stanno diventando un nuovo bersaglio strategico. Un esempio citato dagli analisti riguarda il repository durabletask, nel quale erano state individuate versioni malevole distribuite attraverso PyPI. La capacità di compromettere workflow automatizzati e pipeline CI/CD permette infatti agli attaccanti di ottenere accessi privilegiati e amplificare l’impatto delle proprie operazioni. GitHub ha reagito rapidamente disabilitando i repository interessati il 5 giugno e ripristinandone la maggior parte nel giro di pochi minuti dopo le verifiche preliminari. Nonostante la rapidità della risposta, alcuni progetti particolarmente sensibili sono rimasti offline più a lungo per consentire controlli approfonditi e garantire l’assenza di ulteriori compromissioni.
Microsoft ripristina i repository e continua le indagini
Dopo la fase iniziale di contenimento, Microsoft ha iniziato il ripristino graduale dei repository interessati. L’azienda ha comunicato di aver completato una revisione approfondita della maggior parte dei progetti coinvolti, riportandoli online una volta verificata la rimozione del codice malevolo. Alcuni repository restano tuttavia oggetto di ulteriori accertamenti, mentre le indagini continuano per determinare con precisione modalità e portata dell’attacco. Microsoft ha inoltre notificato un numero limitato di clienti potenzialmente esposti, invitandoli a verificare eventuali download effettuati durante il periodo di compromissione. L’episodio rappresenta un promemoria importante per l’intera industria del software: anche organizzazioni dotate di risorse considerevoli possono diventare bersaglio di operazioni sofisticate contro la supply chain. La rapidità di rilevamento e risposta resta quindi un elemento essenziale per limitare l’impatto di compromissioni che potrebbero propagarsi rapidamente all’interno di ecosistemi composti da migliaia di sviluppatori e applicazioni.
Le raccomandazioni per amministratori e sviluppatori
Microsoft invita gli amministratori a considerare prioritario l’aggiornamento dei server Exchange vulnerabili, applicando immediatamente le patch associate alla CVE-2026-42897 e mantenendo attive le mitigazioni offerte da Exchange Emergency Mitigation Service. Per quanto riguarda Windows, l’azienda raccomanda di verificare la corretta installazione degli aggiornamenti cumulativi di giugno e di eseguire almeno un riavvio completo del sistema per consentire la distribuzione delle correzioni automatiche. Gli sviluppatori che utilizzano repository appartenenti agli ecosistemi Azure, MicrosoftDocs o Azure-Samples dovrebbero invece verificare lo stato dei propri workflow, aggiornare eventuali dipendenze coinvolte e controllare che non siano presenti token o credenziali esposti durante il periodo di compromissione. In particolare, le organizzazioni che fanno ampio uso di pipeline CI/CD dovrebbero valutare l’adozione di controlli aggiuntivi sui workflow automatizzati e sulle autorizzazioni associate ai token federati.
Patch, supply chain e sicurezza cloud diventano un unico fronte
Le iniziative intraprese da Microsoft nel giugno 2026 mostrano come la sicurezza informatica moderna richieda un approccio integrato che coinvolga sistemi operativi, server, repository, cloud e processi di sviluppo. La correzione dello zero-day CVE-2026-42897 protegge le infrastrutture di posta elettronica da attacchi già osservati nel mondo reale, mentre la risoluzione dei problemi di aggiornamento garantisce che le protezioni possano essere distribuite correttamente ai dispositivi Windows. Parallelamente, la risposta alla campagna Miasma evidenzia l’importanza crescente della sicurezza della supply chain software, oggi considerata uno dei principali vettori di compromissione per aziende e organizzazioni pubbliche. L’insieme di queste azioni conferma che la protezione dell’ecosistema Microsoft non passa più soltanto attraverso le patch tradizionali, ma richiede controllo continuo delle pipeline di sviluppo, monitoraggio dei repository e difesa delle identità digitali utilizzate nei servizi cloud. Per amministratori e sviluppatori il messaggio è chiaro: mantenere aggiornati sistemi e workflow resta la misura più efficace per ridurre il rischio operativo e contrastare minacce sempre più sofisticate.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
